가짜 마이크로소프트 알림으로 북한 나르왈RAT 악성코드 배포

출처: The Hacker News

Ravie Lakshmanan
2026년 6월 16일 악성코드 / 사이버 공격

북한 국가 지원 해킹 집단인 ScarCruft(aka APT37)은 마이크로소프트 계정 보안 알림을 가장해 스피어 피싱 메일을 사용해 NarwhalRAT라는 악성코드를 배포하는 활동을 포착했습니다.

“공격 이메일에 가짜 MS 계정 보안 알림이 포함되어 있었으며,” 제니언스 보안 센터(GSC) said. “계정 해킹 가능성과 OTP 남용에 대한 우려를 조성하도록 설계되어 수신자가 첨부 파일을 실행하도록 유도했습니다.”

이메일 본문은 수신자가 첨부된 경고 문서를 확인하라고 지시했습니다. 그러나 실제 첨부는 HWP(Hangul Word Processor) 문서가 아니라 악성 LNK 파일이 포함된 ZIP 아카이브였습니다.

이메일 메시지는 일회용 비밀번호가 반복적으로 생성된 “이상한 활동”을 가장해 타깃의 Microsoft 계정을 제3자 피싱 시도라고 주장하고, 비밀번호를 변경하라는 권고를 제시했습니다. 피싱 메시지의 궁극적인 목표는 긴박감을 조성하고 피해자가 정당한 보안 알림으로 오인하도록 속이는 것입니다.

LNK 파일을 실행하면 다단계 감염 체인이 시작되며, 중간 단계의 배치 스크립트를 사용해 NarwhalRAT을 다운로드하고 설치합니다. 또한 공식 웹사이트에서 정당한 Python 실행 파일과 Windows 보안 카탈로그(CAT) 파일을 가져옵니다. 지속성을 위해 예약된 작업이 구성되어 CAT 파일을 실행해 메모리 상에 메인 페이로드를 загружа고 디스크에 흔적 없이 남깁니다.

파이썬 기반 악성코드는 키스톤 로깅, 고해상도 이미지 지원 스크린샷 캡처, 주변 음성 기록, 디렉터리 내용 업로드, 활성 창 세부 정보 수집, USB 미디어 데이터 획득, C2 서버에서 받은 명령 실행, 그리고 C2 서버 전환 기능을 갖추고 있습니다.

NarwhalRAT이라는 이름은 악성코드가 %APPDATA%\naverwhale를 이용해 감염된 호스트에 수집한 정보를 스테이징하는 데 사용되는 점을 가리킵니다. 숨겨진 디렉터리 이름은 Naver Whale(남한 기업인 네이버가 개발한 웹 브라우저)를 가장해 탐지를 피하려는 시도입니다.

APT37이 NarwhalRAT을 배포한 점은 주목할 만하며, 이는 해킹 집단에만归属된 RokRAT이라는 악성코드 계열과 차별화되는 사건입니다.

C2 인프라 측면에서 이 악성코드는 한국 웹사이트인 ‘daehoat.com’과 ‘novel21.co.kr’을 주요 통신 경로로 활용하고, pCloud 클라우드 스토리지 API 기반 통신 기능을 구현하고 있다고 남한 사이버 보안 기업은 밝혔습니다.

특히, ‘folderid’와 ‘auth’ 파라미터를 처리하는 pCloud 전용 루틴이 코드 내에서 발견되었습니다. 이는 악성코드가 dead drop resolver 형태의 합법적인 클라우드 서비스 역할을 수행하는 2차 C2 채널을 설계했음을 의미합니다.

제니언스는 이 활동이 ScarCruft에 의해 실행된 이전 파이썬 기반 공격과 “다수 유사점”을 공유하고 있다고 밝혔으며, 이는 티켓 확인 및 이벤트 초대 유도 lure를 이용해 잠재적 타깃을 ZIP 아카이브에 포함된 LNK 파일을 열게 만들기 위한 스피어 피싱 캠페인을 포함합니다.

이 공격 사슬(attack chain)은 LNK 파일이 원격 C2 서버에서 다운로드된 은폐된 배치 스크립트를 전달하는 방식으로 진행되며, 이 배치 스크립트는 Python 바이너리와 CAT 파일을 가져와 최종적으로 원격 명령 실행이 가능한 컴파일된 Python 스크립트를 배포하고 결과를 C2 서버에 전송합니다.

특히, 지속성 설정을 위해 사용되는 예약된 작업의 이름은 유사한 명명 규칙을 따릅니다. NarwhalRAT 감염은 “MicrosoftUserInterfacePicturesUpdateTackMachine”이라는 이름의 예약된 작업을 만들고, 두 번째 사슬은 “MicrosoftMusicLibrariesPackageTaskMachine”이라는 이름을 사용합니다.

“전체적으로 NarwhalRAT은 파이썬 기반 다단계 로더, 메모리 실행 구조, 다중 C2 운영 프레임워크, 선택적 정보 수집 기능을 갖춘 고급 RAT 악성코드로 평가됩니다,” 제니언스가 말했습니다.

이 기사가 흥미로웠다면 Google News, Twitter 및 LinkedIn을 통해 더 독점적인 콘텐츠를 확인해 보세요.